基于QEMU的內(nèi)核代碼重用型攻擊檢測(cè)系統(tǒng).pdf

1、作為一種新型的攻擊方式，代碼重用型攻擊不需要向系統(tǒng)內(nèi)注入任何代碼，而是僅僅利用已有的（合法）代碼就能實(shí)施完整攻擊，危害巨大。代碼重用型攻擊可以繞過(guò)多種傳統(tǒng)安全防護(hù)機(jī)制（比如代碼完整性保護(hù)），攻擊的成功率大大增加。利用緩沖區(qū)溢出等技術(shù)手段篡改跳轉(zhuǎn)指令的跳轉(zhuǎn)地址（比如返回地址），可以獲得對(duì)系統(tǒng)指令流程的控制；同時(shí)，由于跳轉(zhuǎn)指令的數(shù)量巨大，攻擊者可以有多種選擇。雖然研究人員開(kāi)發(fā)出一些能夠檢測(cè)這種攻擊的方法，但是，由于攻擊方式的多樣化和兼容性問(wèn)

2、題，仍然無(wú)法滿(mǎn)足系統(tǒng)安全的需求。
　　論文以QEMU虛擬機(jī)管理器為平臺(tái)，通過(guò)對(duì)QEMU源代碼的學(xué)習(xí)與研究，掌握了QEMU動(dòng)態(tài)二進(jìn)制翻譯技術(shù)的原理和其TCG（Tiny Code Generator）中間代碼的專(zhuān)業(yè)技術(shù)，并基于此設(shè)計(jì)實(shí)現(xiàn)了一種代碼重用型攻擊檢測(cè)系統(tǒng)。注意到代碼重用型攻擊使用的主要攻擊方式是篡改跳轉(zhuǎn)指令的跳轉(zhuǎn)地址，改變系統(tǒng)指令的執(zhí)行流程，從而達(dá)到攻擊的目的，所以需要對(duì)內(nèi)核中的跳轉(zhuǎn)指令進(jìn)行監(jiān)控和檢測(cè)。這一類(lèi)指令主要包括re

3、t指令、間接 call指令和中斷指令。使用QEMU虛擬機(jī)管理器運(yùn)行操作系統(tǒng)內(nèi)核，由于QEMU是基于二進(jìn)制指令翻譯技術(shù)實(shí)現(xiàn)，系統(tǒng)內(nèi)核的每一條指令都會(huì)在QEMU虛擬機(jī)管理器中翻譯運(yùn)行。通過(guò)對(duì)QEMU虛擬機(jī)管理器的功能模塊進(jìn)行修改，遍歷檢測(cè)操作系統(tǒng)內(nèi)核中每一條指令，從中識(shí)別ret指令、間接call指令和中斷指令的翻譯方式，然后記錄這些指令的跳轉(zhuǎn)目標(biāo)地址，通過(guò)將記錄信息與合法信息進(jìn)行對(duì)比，就可以實(shí)現(xiàn)對(duì)代碼重用型攻擊的檢測(cè)。
　　最后，論文